研究人員披露戴爾 PowerEdge 服務器中 iDRAC 技術存在嚴重漏洞

iDRAC技術中的路徑遍歷漏洞可以使遠程攻擊者控制服務器操作的控制權。

研究人員已經披露了最近修復的，嚴重程度很高的Dell PowerEdge服務器漏洞的詳細信息，如果利用該漏洞，攻擊者可以完全接管并控制服務器的運行。

該Web漏洞是在Dell EMC iDRAC遠程訪問控制器中發現的，該技術嵌入在最新版本的Dell PowerEdge服務器中。雖然漏洞已在7月初修復，但發現該漏洞的Positive Technologies研究人員Georgy Kiguradze和Mark Ermolov周二發表了一份詳細的分析報告。

根據在線發布的一份咨詢報告，在4.20.20.20之前的Dell EMC iDRAC9版本中發現的路徑遍歷漏洞CVE-2020-5366被評為7.1，具有很高的嚴重性漏洞等級。

研究人員說，路徑遍歷是他們在調查中遇到的三個最常見的漏洞之一。如果被利用，則該漏洞可能使攻擊者可以查看服務器文件夾的內容，即使對于以普通站點登錄的用戶也不應訪問該文件夾。研究人員說，iDRAC運行在Linux上，對于黑客來說，利用此漏洞的特別之處在于可以讀取文件/ etc / passwd，該文件存儲有關Linux用戶的信息。

攻擊者如何使用此漏洞的一個示例是對Zoom視頻會議應用程序上發現的兩個漏洞的攻擊，該漏洞可能允許遠程攻擊者侵入群聊中任何參與者的系統。實際上，Dell EMC在其建議中警告說，具有低權限的遠程、經過身份驗證的惡意用戶可能會通過操縱輸入參數來利用iDRAC漏洞，以獲得對任意文件的未經授權的讀取訪問權限。

iDRAC旨在使IT管理員無需安裝新軟件即可遠程部署，更新，監視和維護Dell服務器。戴爾已經發布了iDRAC固件的更新程序，該更新程序修復了該缺陷，并建議客戶盡快進行更新。

研究人員說，只有在iDRAC連接到Internet時才能利用此漏洞，Dell EMC不建議這樣做。IDRAC在Dell EMC服務器中也是相對較新的技術，這意味著它可能尚未廣泛使用。

不過，研究人員表示，公共搜索引擎已經發現了可以利用Internet連接到iDRAC的多個連接，以及500個可用于使用SNMP進行訪問的控制器。

Kiguradze在一份新聞聲明中解釋說，iDRAC控制器被網絡管理員用來管理關鍵服務器，“有效地充當了服務器本身內部的一臺獨立計算機”。

他說：“ iDRAC運行在普通Linux上，盡管配置有限，并且具有完整的文件系統。” “該漏洞使得可以讀取控制器操作系統中的任何文件，并且在某些情況下，還可能干擾控制器的操作-例如，在讀取/dev/urandom等符號Linux設備期間。”

Kiguradze說，攻擊者可以通過獲取特權用戶的備份擁有憑據或暴力手段從外部利用此漏洞。他說，他們還可以使用服務器訪問受限的初級管理員帳戶在內部利用此漏洞。一旦攻擊者獲得控制權，他或她就可以從外部阻止或破壞服務器的操作。

為了更好地保護使用iDRAC的Dell服務器，研究人員建議客戶將iDRAC放在單獨的管理網絡中，并且不要將控制器連接到互聯網。公司還應隔離管理網絡或VLAN(例如使用防火墻)，并僅允許授權的服務器管理員訪問子網或VLAN。

Dell EMC為保護iDRAC免受入侵而提出的其他建議包括：使用256位加密和TLS 1.2或更高版本。配置選項，例如IP地址范圍過濾和系統鎖定模式；以及其他身份驗證，例如Microsoft Active Directory或LDAP。